Sécurité Offensive

Testez la sécurité de vos systèmes TI avec nos hackers!

9611_INFIDEM_icones_v1-secu-offensiveMême si vous êtes extrêmement prudent dans l’élaboration des procédures de sécurité de votre entreprise, des détails peuvent vous échapper. Qu’elles touchent la configuration technique ou les comportements litigieux en interne, des failles donnent aux pirates l’opportunité de compromettre ou voler vos données.

Ces failles peuvent prendre la forme d’une erreur sur votre site web, permettant l’insertion de codes malicieux ou d’une mauvaise configuration de votre hébergeur de données, mais elles peuvent aussi permettre une intrusion physique! Le clonage de badges d’accès est beaucoup plus fréquent que vous le croyez…

Le facteur humain est aussi un élément primordial à considérer : manque d’informations, non-respect des procédures, oublis, résistance au changement… Tous ces éléments peuvent faire dérailler vos plans et ouvrir des risques.

La meilleure façon d’assurer l’efficacité de vos mesures est de les mettre au banc d’essai. Et grâce aux services de sécurité offensive de In Fidem, c’est possible de le faire rapidement et en toute sécurité!

Nos experts simulent le comportement des pirates informatiques pour vous montrer vos vulnérabilités, afin de diminuer vos risques et de monter votre maturité en sécurité. Vous bénéficiez ensuite d’un rapport présentant les résultats de façon claire, les corrections nécessaires et les recommandations des prochaines étapes.

Ne laissez pas le hasard décider de votre sort, reprenez le contrôle de votre sécurité!

Nos services de sécurité offensive

Test d’intrusion application web (ERP, CRM, corpo, du marché…)

Combinant savoir-faire et alliances stratégiques, nos experts de ce domaine ont développé des méthodologies ou approches à forte valeur ajoutée dans le domaine telles que la mise en place d’une équipe de sécurité des applications, la formation en développement sécuritaire, la sécurité des systèmes SAP et la sécurité des systèmes SCADA.

In Fidem a créé des alliances stratégiques avec d’autres entreprises innovantes de ce domaine, telles que Cigital, Aspect Security, Virtual Forge, Onapsis ou des organismes tels que OWASP et ISO.

Tests d’intrusion réseau : réseau interne

Les tests d’intrusion internes au réseau de l’entreprise visent à simuler une attaque en provenance d’acteurs malicieux (employé mécontent, espion industriel, etc.) afin de valider la sécurité du réseau interne et des mécanismes de réaction aux incidents de l’organisation.

  • Analyse du réseau et énumération : une évaluation de l’environnement technologique est réalisée afin de cartographier le réseau et déterminer les services à haut risque de l’organisation.
  • Interception des communications : adoptant un point de vue offensif, notre équipe utilise les méthodes connues des pirates et cyberespions telles que l’usurpation des protocoles NBNS, LLMNR ou ARP, afin de prêter l’oreille aux communications transitant sur le réseau et confirmer la présence d’informations sensibles ou confidentielles pouvant mettre en danger la sécurité de l’organisation.
  • Analyse logique des failles : l’équipe de testeurs effectue une analyse en profondeur des vulnérabilités de l’organisation ainsi que de la logique des applications à évaluer. Cette étape consiste à valider les faux positifs et à tenter de forger une chaîne d’exploitation (kill chain) pouvant mener un attaquant potentiel à une exploitation en profondeur de l’organisation, ainsi qu’à une atteinte des objectifs déterminés avec l’équipe de sécurité.
  • Évaluation des configurations et pratiques : en raison des activités menées, les conseillers de In Fidem sont mis au contact des pratiques de sécurité utilisées dans l’infrastructure interne, ainsi qu’à la gestion des rôles et des autorisations pour les différents systèmes. Toute anomalie est repérée et notre équipe fournit des recommandations pertinentes.

Tests d’intrusion réseau : périmètre externe

Les tests externes nous permettent de déterminer la couverture publique de l’organisation, à savoir sa présence Internet ainsi que les différents cas d’utilisations possibles pour les services, systèmes et applications y étant exposés.

Notre équipe utilise les techniques communes aux acteurs malicieux de l’Internet afin de valider les risques auxquels l’organisation pourrait avoir à faire face.

  • Recherche d’informations sur sources ouvertes « OSINT »
  • Réalisation d’attaque par dictionnaire ou force brute :
    • Listes et règles optimisées selon notre expérience de terrain (notamment : crawling)
    • Système de cassage de mot de passe haute performance (hors ligne)
  • Mise en place de mouchards sur les systèmes – exfiltration de données
  • Utilisation de techniques d’ingénierie sociale avancée (notamment : spear-phishing, watering hole)
  • Recherche de portails applicatifs (tels que les passerelles VPN ou les interfaces
    d’administration comme PHPMYADMIN)
  • Vérification des mécanismes de protection contre les attaques en force (brute force)
  • Identification des vulnérabilités applicatives communes accessibles sans authentification
  • Recherche de configurations défaillantes dans les services ou les contrôles découverts
  • Exploitation des vulnérabilités découvertes, qui ne risquent pas d’avoir d’impact sur le fonctionnement des systèmes, à des fins de démonstration ou pour obtenir des accès ou de l’information complémentaire.

Campagnes d’hameçonnage

L’hameçonnage est un processus utilisé pour décrire l’envoi, par des criminels, de courriels et de messages textes semblant provenir d’une source crédible et légitime, mais visant à tromper le destinataire afin de lui soutirer des renseignements sensibles ou infecter des ordinateurs avec des logiciels malveillants.

Malgré la sensibilisation à ces problèmes, les utilisateurs restent souvent insouciants et téméraires. Notre expérience indique qu’un des moyens les plus efficaces pour changer les comportements est un exercice d’envoi de courriels non annoncé. Au cours de cet exercice, les gens qui cliquent sur un lien ou qui ouvrent un document sont immédiatement informés des risques qu’ils viennent de faire courir à l’organisation.

Notre approche pour la campagne hameçonnage s’articule autour de trois grandes phases.

  1. Conception de prétextes plausibles au sein de l’organisation ciblée, susceptibles d’obtenir une réponse positive des employés.
  2. Lancement d’une campagne d’envoi rapide, d’une durée maximale d’une journée ouvrable afin d’éviter une contamination des résultats.
  3. Collecte des résultats et analyse statistique sur différentes métriques de réactions, telles que la lecture du courriel, l’ouverture de liens ou de fichiers attachés, l’entrée d’informations sensibles…

Tests d’intrusion physique

Le vol d’information est une menace réelle pour les organisations. Pour un acteur malicieux, avoir accès aux réseaux et serveurs critiques hébergés à l’intérieur des locaux d’une organisation signifie avoir accès aux données que l’organisation traite chaque jour et tente de protéger. Dans ce domaine, et en dépit des risques qu’elle comporte, l’intrusion physique est encore aujourd’hui la discipline d’attaque la plus rapide et la plus efficace pour avoir accès à des actifs sensibles.

Les objectifs stratégiques de toute mission d’intrusion sont d’évaluer la robustesse des mesures de protection de l’entreprise, incluant :

  • Obstacles physiques : portes, verrous, fenêtres…
  • Surveillance du périmètre : gardes de sécurité, surveillance télévisuelle…
  • Mécanismes d’authentification : carte d’accès sans contact, processus d’authentification humain, équipements biométriques
  • Détection des accès non autorisés : alarmes, couverture des détecteurs de mouvement
  • Processus de gestion de la sécurité : réaction aux incidents et brèches détectés

Dans ce cadre, notre équipe opérationnelle exécutera des tests d’intrusion afin d’obtenir un accès non autorisé aux locaux et exécuter le ou les scénarios agréés avec l’organisation cible, tels qu’un accès non autorisé à un périmètre interne sensible, un vol d’équipement, l’obtention d’une connexion non autorisée au réseau interne ou la démonstration de la possibilité de désactiver des équipements vitaux pour l’activité de l’organisation.

Tests du réseau sans-fil

Les réseaux sans fil ont des problématiques et des mécanismes de sécurité qui leur sont propres. De plus, la sécurité physique d’un réseau sans fil est souvent complexe à mettre en place, l’exposant ainsi publiquement. La simulation d’une attaque par un passant malicieux permettra de confirmer la possibilité de créer une chaîne d’exploitation à partir des vulnérabilités du réseau sans fil dans le but de rentrer à l’intérieur du réseau corporatif et d’accéder à des données confidentielles.

Les activités liées à ces tests sont les suivantes :

  • Recherche des points d’accès et des différents réseaux sans fil
  • Analyse des mécanismes de sécurisation déployés
  • Tentatives d’attaques pour le vol de clé et cryptanalyse
  • Tentatives d’attaques sur les utilisateurs du réseau sans fil (redirect-to-smb, etc.)
  • Validation des configurations 802.1x (certificats, routage, authentification, etc.)
  • Tentatives d’attaques par usurpation d’identité d’un point d’accès au réseau sans fil (rogue access point)

Tests d’ingénierie sociale (téléphone, réseaux sociaux, bureaux, etc.)

Une majorité des piratages se produisant en conditions réelles se font par l’entremise d’appels téléphoniques malicieux.

Pour un attaquant, contacter des employés au téléphone représente un moyen simple :

  • d’extorquer des informations sensibles ou confidentielles sur l’architecture du réseau interne de l’entreprise;
  • d’obtenir l’exécution de commandes à distance malicieuses via le bon-vouloir d’employés ciblés, permettant à l’attaquant de s’introduire dans le réseau interne et d’accéder à des systèmes protégés.

L’objectif de cette activité consiste à lancer, depuis l’Internet, une campagne d’attaque contre l’organisation, sans aucune connaissance préalable. Les moyens mis en œuvre vont de la reconnaissance de l’empreinte Internet de l’entreprise aux appels téléphoniques frauduleux.

Le but de ce type de scénario est de vérifier la possibilité d’exfiltrer des données critiques pour l’activité de l’entreprise.

  • Recherche d’informations sur sources ouvertes « OSINT »
  • Utilisation de techniques d’ingénierie sociale avancée (reconnaissance,
    watering hole)
  • Réalisation d’attaque par voix (vishing) :
    • Réalisation d’une attaque par téléphone visant à récupérer des informations sur les systèmes internes (version du système d’exploitation, version de l’antivirus, mot de passe du réseau sans-fil…)
    • Réalisation d’une attaque visant à faire exécuter des commandes malicieuses aux employés (téléchargement d’un fichier exécutable, exécution d’une commande Powershell malicieuse…)
  • Mise en place de mouchards sur les systèmes – accès au réseau interne
  • Mise en place d’un mécanisme de persistance dans le réseau interne
  • Analyse des résultats et recommandations
  • Compte rendu détaillé des tentatives réussies et échouées
  • Documentation des observations de l’équipe opérationnelle incluant une estimation des risques pour l’entreprise et des recommandations de mitigation

Revue de code sécurisé (application web et mobile)

L’objectif de la revue de code est de valider que les contrôles de sécurité sont implémentés de façon sécuritaire à même le code de l’application. Nous utilisons la méthodologie OWASP ASVS pour une vérification par type de contrôle selon les domaines suivants : authentification, autorisation (contrôle d’accès), gestion des sessions, gestion des erreurs et exceptions, journalisation, validation des entrées et sorties, cryptographie et environnement de déploiement. Les vulnérabilités identifiées sont catégorisées et priorisées en fonction du risque. Des recommandations sont ensuite formulées pour aider les développeurs à corriger les vulnérabilités efficacement.

Exercices de Red Team

Un exercice de Red Team consiste à demander à un groupe de pirates éthiques d’évaluer la sécurité «globale» d’une organisation. Le but de ce genre d’exercice est principalement de démontrer les possibilités d’exfiltration de données sensibles ou d’arrêt de la production, ainsi que la réponse aux incidents de l’équipe de sécurité, mais les objectifs peuvent varier en fonction de l’organisation ciblée.

Contrairement aux tests classiques, où la surface des tests est limitée et les résultats sont biaisés par les contrôles devant être évalués, une équipe de Red Team fournit une approche la plus réaliste possible, à l’aide de scénarios d’attaque plausibles simulant les tactiques, techniques et procédures (TTP) des cyberterroristes, en fonction des besoins d’affaires des organisations ciblées.

  • Aucune information n’est fournie par l’organisation.
  • L’exécution des scénarios d’attaque doit déjouer le processus de réponse de l’équipe de sécurité interne.

La stratégie d’organisation de projet s’articule en 5 étapes qui visent à suivre la Kill Chain traditionnelle d’un exercice de Red Team telle que développée par Lockheed-Martin, tout en garantissant le bon déroulement du mandat en conformité avec les exigences de l’organisation.

  • Nos conseillers cherchent à recueillir le plus d’informations possible (accès ou informations pertinentes) qui permettraient d’identifier des vecteurs d’attaques ou d’exploiter différentes vulnérabilités, à l’aide de techniques de reconnaissance :
    • recherche passive d’informations dans le réseau et sur les sites accessibles par le testeur;
    • découverte active de vecteurs d’attaques (observations sur les lieux physiques, balayages des systèmes informatiques, discussions, etc.).
  • Lors de l’étape suivante, l’information recueillie est traitée afin de préparer en détail les attaques qui seront menées : configuration d’équipements, conception de faux, simulation en laboratoire, programmation d’exploits, etc.;
  • Les attaques sélectionnées sont exécutées afin d’obtenir un point d’entrée physique ou virtuel dans le réseau de l’organisation;
  • Par la suite, l’équipe opérationnelle utilise des techniques de «mouvement latéral» et «d’élévation de privilèges» afin de se propager dans le réseau à partir d’un accès obtenu pour atteindre les cibles finales;
  • L’équipe exécute les actions spécifiques aux objectifs établis pour l’exercice (par exemple, recueil de preuves d’accès à des informations sensibles, exfiltration de données…).
  • La dernière étape consiste à l’analyse et la documentation des résultats, l’approbation des livrables et la communication des résultats.